표준 기반 개발 방법론
개발자는 MSAL(Microsoft 인증 라이브러리)에서 보강된 소프트웨어 개발을 위한 업계 표준을 잘 활용할 수 있습니다. 이 문서에서는 Microsoft ID 플랫폼 지원되는 표준 및 해당 혜택에 대한 개요를 제공합니다. 클라우드 애플리케이션이 최적의 보안을 위해 제로 트러스트 요구 사항을 충족하는지 확인합니다.
프로토콜은 어떻습니까?
프로토콜을 구현할 때 모든 모범 사례를 사용하여 완전히 최신 상태이며 보안 구현을 위한 OAuth 2.0 모범 사례를 따르는 코드를 작성하는 데 걸리는 시간이 포함된 비용을 고려합니다. 대신 Microsoft Entra ID 또는 Microsoft ID에 직접 빌드할 때 잘 기본 있는 라이브러리(MSAL에 대한 기본 설정 포함)를 사용하는 것이 좋습니다.
MICROSOFT Entra ID를 빌드하고 작업하도록 MSLL을 최적화합니다. 사용자 환경에 MSAL이 없거나 자체 라이브러리에서 잠금 해제된 기능이 있는 경우 Microsoft ID 플랫폼 사용하여 애플리케이션을 개발합니다. OAuth 2.0 기능 및 OpenID 커넥트 빌드합니다. 프로토콜로 올바르게 되돌아가는 비용을 고려합니다.
Microsoft ID 플랫폼 표준을 지원하는 방법
제로 트러스트 가장 효율적이고 효과적으로 달성하려면 Microsoft ID 플랫폼 지원하는 업계 표준을 사용하여 애플리케이션을 개발합니다.
OAuth 2.0 및 OpenID Connect
인증을 위한 업계 프로토콜인 OAuth 2.0을 사용하면 사용자가 보호된 리소스에 대한 제한된 액세스 권한을 부여할 수 있습니다. OAuth 2.0은 HTTP(Hypertext Transfer Protocol)와 함께 작동하여 클라이언트 역할을 리소스 소유자와 분리합니다. 클라이언트는 토큰을 사용하여 리소스 서버에서 보호된 리소스에 액세스합니다.
OpenID 커넥트 구문을 사용하면 Microsoft Entra 확장을 통해 보안을 강화할 수 있습니다. 이러한 Microsoft Entra 확장은 가장 일반적입니다.
- 조건부 액세스 인증 컨텍스트 를 사용하면 앱이 앱 수준에서만 중요한 데이터 및 작업을 보호하는 세분화된 정책을 적용할 수 있습니다.
- CAE(지속적인 액세스 평가) 를 사용하면 Microsoft Entra 애플리케이션이 평가 및 적용을 위해 중요한 이벤트를 구독할 수 있습니다. CAE에는 사용 안 함 또는 삭제된 사용자 계정, 암호 변경, 토큰 해지 및 검색된 사용자와 같은 위험한 이벤트 평가가 포함됩니다.
애플리케이션이 CAE 및 조건부 액세스 인증 컨텍스트와 같은 향상된 보안 기능을 사용하는 경우 클레임 문제를 관리하는 코드를 포함해야 합니다. 개방형 프로토콜을 사용하면 클레임 챌린지 및 클레임 요청을 사용하여 다른 클라이언트 기능을 호출합니다. 예를 들어 앱에 변칙으로 인해 Microsoft Entra ID와의 상호 작용을 반복해야 함을 나타냅니다. 또 다른 시나리오는 사용자가 이전에 인증한 조건을 더 이상 충족하지 않는 경우입니다. 기본 인증 코드 흐름을 방해하지 않고 이러한 확장에 대해 코딩할 수 있습니다.
SAML(Security Assertions Markup Language)
Microsoft ID 플랫폼 SAML 2.0을 사용하여 제로 트러스트 애플리케이션이 SSO(Single Sign-On) 사용자 환경을 제공할 수 있도록 합니다. Microsoft Entra ID의 SSO 및 Single Sign-Out SAML 프로필은 ID 공급자 서비스가 SAML 어설션, 프로토콜 및 바인딩을 사용하는 방법을 설명합니다. SAML 프로토콜을 사용하려면 ID 공급자(Microsoft ID 플랫폼)와 서비스 공급자(애플리케이션)가 자신에 대한 정보를 교환해야 합니다. 제로 트러스트 애플리케이션을 Microsoft Entra ID에 등록하면 애플리케이션의 리디렉션 URI 및 메타데이터 URI를 포함하는 페더레이션 관련 정보를 Microsoft Entra ID로 등록합니다.
프로토콜을 통해 MSAL의 이점
Microsoft는 Microsoft ID 플랫폼 대한 MSLL을 최적화하고 SSO, 토큰 캐싱 및 중단 복원력에 가장 적합한 환경을 제공합니다. MSLL을 일반적으로 사용할 수 있으므로 언어 및 프레임워크의 적용 범위를 계속 확장합니다.
MSAL을 사용하여 웹 애플리케이션, 웹 API, 단일 페이지 앱, 모바일 및 네이티브 애플리케이션, 디먼 및 서버 쪽 애플리케이션을 포함하는 애플리케이션 유형에 대한 토큰을 획득합니다. MSAL을 사용하면 Microsoft Graph 및 API를 통해 사용자 및 데이터에 안전하게 액세스할 수 있는 빠르고 간단한 통합이 가능합니다. 동급 최고의 인증 라이브러리를 사용하면 모든 대상 그룹에 도달하고 Microsoft 보안 개발 수명 주기를 따를 수 있습니다.
다음 단계
- Microsoft ID 플랫폼 인증 라이브러리는 애플리케이션 유형 지원을 설명합니다.
- 제로 트러스트 원칙을 사용하여 개발하면 애플리케이션 보안을 개선할 수 있도록 제로 트러스트 원칙을 이해하는 데 도움이 됩니다.
- 애플리케이션 개발 수명 주기에서 제로 트러스트 ID 및 액세스 관리 개발 모범 사례를 사용하여 보안 애플리케이션을 만듭니다.
- id에 대한 제로 트러스트 접근 방식을 사용하여 앱을 빌드하면 사용 권한 및 액세스 모범 사례에 대한 개요를 제공합니다.
- 애플리케이션 등록, 권한 부여 및 액세스 에 대한 개발자 및 관리자 책임은 IT 전문가와 더 잘 공동 작업하는 데 도움이 됩니다.
- API Protection은 등록을 통해 API를 보호하고, 사용 권한 및 동의를 정의하고, 제로 트러스트 목표를 달성하기 위해 액세스를 적용하는 모범 사례를 설명합니다.
- 토큰 사용자 지정은 Microsoft Entra 토큰에서 받을 수 있는 정보를 설명합니다. 토큰 사용자 지정을 통해 유연성과 제어를 개선하는 동시에 최소한의 권한으로 애플리케이션 제로 트러스트 보안을 강화하는 방법을 설명합니다.
- 토큰 에서 그룹 클레임 및 앱 역할 구성은 앱 역할 정의를 사용하여 앱을 구성하고 앱 역할에 보안 그룹을 할당하는 방법을 설명합니다. 이 방법은 최소한의 권한으로 애플리케이션 제로 트러스트 보안을 강화하면서 유연성과 제어를 향상시킵니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기